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摘 要 :针对 现 有 三 种 常见 无 线 射 频 识别 密 钥 无 线 生成 场景 下 ,设计 的 相应 密 钥 生成 算法 中 存在 的 算法 理论 证 明 缺 失 、 
重 放 攻 击 、 密 铀 伪造 攻击 以 及 RFID 标签 身份 ID 泄露 的 安全 性 问题 ， 设 计 了 更 安全 的 基于 激活 标志 位 的 改进 RFID 系 
统 密 钥 无 线 生成 算法 。 改 进 算法 仅 基 于 多 种 超 轻 量 级 位 运算 来 组 合 构 建安 全 的 算法 框架 ， 降 低 成 本 ， 提 高 效率 ; 利用 
激活 标志 位 AckBit 机 制 以 及 新 鲜 性 机 制 抵抗 重 放 、 密 钥 伪 造 攻 击 ; 通过 完整 GNY 逻辑 证 明 过 程 与 安全 性 对 比分 析 ， 
证 明 目 标 算法 的 安全 可 行 性 。 最 后 ， 给 出 原 算法 与 改进 算法 之 间 的 标签 成 本 代价 对 比 ， 表 明 改 进 的 算法 在 满足 低 成 本 
的 条 件 下 具有 更 高 的 安全 性 。 

关键 词 : 无 线 射频 识别 ; 密 钥 无 线 生 成 ; 更 安全 ; 激活 标志 位 ; GNY 地 辑 证 明 
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CS Abstract: Inthe scenario of wireless generation of three common radio frequency identification keys, the security key problem 
of replay attack, key forgery attack and RFID tag identity ID leakage and the lack of algorithm theory are found in the 


corresponding key generation algorithms. This paper designed a more secure RFID-based key generation algorithm based on 


activation flag. The improved algorithm only combined multiple super-lightweight bit operations to construct a secure algorithm 


和 framework, which reduced cost and improves efficiency. It used the activation flag “AckBit”mechanism and the freshness 


mechanism to resist replay and key forgery attacks. Through the complete GNY logic proof process and safety comparison 


analysis, it proved the safety and feasibility of the target algorithm. Finally, This paper presented the comparison of the tag cost 
between the original algorithm and the improved algorithm, which shows that the improved algorithm has higher security under 
the condition of satisfying the low cost. 
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可 预测 性 、 成 本 低 、 安 全 性 较为 可 靠 等 优点 被 广泛 研究 。 


1 ”相关 研究 
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随 着 物 联网 的 不 断 发 展 其 感知 层 的 重要 技术 一 一 无 线 射 频 
识 (radio frequency identification，RFID) 也 越 来 越 受 到 人 们 的 导 文献 [5] 首 次 提出 RFID 密 钥 无 线 生 成 思想 ， 跳 出 了 密 钥 事 
视 口 。 在 RFID 系统 中 标签 和 读 写 器 通常 需要 进行 相互 认证 、 座 先 预 设 带 来 的 局 限 性 ， 并 根据 “后 向 信道 不 可 窃听 ”的 假设 ， 提 
别 、 定 位 等 操作 ， 这 就 需要 共享 密 钥 的 参与 ， 而 密 钥 的 下 发 通 出 了 “WiKey”RFID 密 钥 无 线 生成 算法 。 但是， 随后 多 篇 文献 
常 有 两 种 方式 一 种 是 在 出 厂 已 经 设置 好 ， 密 钥 值 单一 固定 ; 另 ”指出 了 WiKey 算法 假设 的 应 用 局 限 性 , 大 多 指出 了 其 因为 所 有 
种 方式 是 通过 密码 学 相关 算法 手段 在 读 写 器 和 标签 两 端 同时 ”通信 数据 均 明 文 传输 而 存在 密 钥 伪 造 的 风险 ， 并 分 别提 出 了 各 
ee 具有 动态 、 便 捷 的 优点 PC3。 这 第 二 种 方 自 的 改进 算法 ， 主 要 有 文献 [6-9]， 其 中 主要 优 缺 点 具体 分 析 如 
法 是 近年 来 的 研究 热点 ， 但 是 也 正 是 由 于 RFID 系统 这 种 动态 下; 
开放 性 ， 使 得 共享 密 钥 如 何 快速 、 安 全 、 准 确 的 生成 成 为 了 当 文献 [6] 提 出 了 一 种 基于 多 种 位 运算 〈 字 合成 位 运算 、 交 叉 
下 RFID 密 钥 无 线 生成 算法 需要 解决 的 重点 问题 外 。 近 年 来 以 ”位 运算 、 异 或 、 与 运算 ) 的 RFID 密 钥 生成 算法 。 其 利用 标签 
超 轻 量 位 运算 为 基础 的 密 钥 无 线 生 成 算法 ， 因 为 其 具有 动态 不 编号 信息 通信 ， 认 证 效率 有 所 提升 ， 但 是 该 算法 在 单 标 签 密 钥 
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生成 场景 中 其 实 也 存在 标签 身份 ID 暴露 的 风险 ; 


又 因为 系统 


标签 端 每 个 标签 都 需要 生成 随机 数 来 进行 认证 计算 ， 这 会 增加 
系统 成 本 与 复杂 性 ， 不 能 满足 低 成 本 应 用 。 
文献 [7 也 提出 了 一 种 新 的 密 钥 生成 算法 ， 虽 然 解决 了 


WiKey 算法 的 安全 性 缺陷 ， 但 是 该 算法 的 认证 过 程 需要 进行 两 


轮 通 


下 ， 因 为 不 能 
钥 伪 造 。 


言 才能 完成 ， 效 率 不 高 。 
文献 [8] 提 出 了 一 种 基于 标签 部 分 ID 的 改进 算法 ， 该 算法 
于 只 引入 标签 ID 信息 和 随机 数 , 成 本 较 低 ， 
环境 ， 但 是 通过 本 文 的 研究 发 现 该 算法 在 生成 群 组 标签 的 场景 


具体 漏洞 分 析 如 
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hed 人 
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2 ”改进 的 更 安全 的 RFID 系统 密 钥 无 线 生成 算法 


2.1 前 提 与 符号 


同一 般 RFID 系统 密 钥 无 线 生成 算法 的 基本 前 提 假 设 特征 
相似 ， 后 台数 据 库 和 读 写 器 之 间 视 为 统一 安全 整体 ， 下 文 统称 
读 写 器 ， 而 读 写 器 和 标签 之 间 视 为 不 安全 的 通信 信道 0 因此 


适合 低 成 本 应 用 


氏 抗 窃听 、 重 放 攻击 而 造成 标签 身份 泄露 以 及 密 


下 : 标签 身份 泄露 漏洞 ， 因 为 在 通 


信 过 程 中 , 攻击 者 A 可 以 窃听 第 二 步 通信 过 程 , 组 内 标签 7 会 


发 送 M,=1D, @1D, 得 到 所 


标签 的 Mi, 接着 继续 窃听 第 三 步 ， 


读 写 器 向 所 有 标签 明文 发 送 (1D,,) ， 攻 击 者 A 
得 到 的 信息 ,解密 得 到 1D,=M, ®1D, ， 因 ; 
得 到 的 明文 标签 ID 的 左 半 部 分 ， 这 样 标签 完整 身份 ID 信息 


到 (ID =ID, 


为 算法 设计 中 缺少 随机 数 新 鲜 性 验证 , 攻击 者 A 完全 可 以 假冒 
标签 ， 重 放 Mi 或 者 根据 解密 得 到 的 (1D,,1D,) 重 新 计算 Wi， 通 
过 数据 库 的 合法 性 验证 得 到 密 钥 计算 因子 i， 解密 得 到 密 钥 


即 可 根据 窃听 
为 事先 已 经 获得 窃听 


Ba 


BA 
得 


又 因 


上 7D;, )， 标 签 身份 泄露 。@@ 密 钥 伪 造 漏洞 : 


k=k 四 1D,,， 或 者 直接 根据 已 经 得 到 的 所 有 标签 ID 信息 , 直接 


计算 得 到 密 角 


k。 因 此 ， 该 算法 不 能 抵抗 重 放 攻 击 存在 密 钥 伪 


造 以 及 标签 身份 泄露 风险 。 
文献 [9] 提 出 了 一 种 基于 假名 标志 的 加 密 RFID 密 钥 生成 算 


法 ， 引 入 假名 标志 一 定 程度 上 可 以 防止 标签 身份 信息 泄露 ，1 
是 经 过 本 文 的 研究 发 现 ， 该 算法 在 单个 标签 密 钥 生 成 场景 下 仍 


然 存在 密 钥 伪造 攻击 


A= @ IDS 、 
踪 得 到 消息 


B=n 四 1D5S 消息 时 ， 攻 击 者 可 以 直接 通过 窃听 跟 


局 洞 。 因 为 ， 在 读 写 器 向 标签 发 送 加 密 的 


需要 在 设计 协议 时 进行 加 密 传输 保证 安全 性 。 


说 明 


ir 


其 中 自 组 合 交 叉 


位 运算 Soc 也 基 


本 原理 参考 文献 [13]， 本 算法 所 需 符号 说 明 如 


下 表 2 所 示 。 
表 2 符号 说 明 
符号 含义 
Tag 合法 标签 
Reader 合法 读 写 器 
万 标签 唯一 身份 标志 、 
TID 标签 假名 身份 标志 
TIDL 标签 假名 身份 标志 的 左 部 分 
TID R 标签 假名 身份 标志 的 右 部 分 
Key 标签 与 读 写 器 之 间 共 享 密 钥 
厂 密 钥 生成 因子 
4ckBit 激活 标志 位 , 4ckBit=1 标签 激活 ;4ckBit=0 标签 未 激活 
ni、 rn 标签 与 读 写 器 之 间 随 机 数 
首 、 汶 随机 数 的 左 、 右 两 部 分 
A, B, C, D 通信 数据 
Sac(X,Y) 组 合 交叉 位 运算 
Rot(X,Y) 循环 移 位 运算 
© 异 或 运算 


2.2 算法 具体 过 程 


在 协议 初始 状态 中 ， 标 签 保存 唯 


A、 B,， 


用 这 两 个 数据 本 身 破解 计算 


(A@BB=n@IDS Dr, BIDS=n Or =k) 即 可 得 到 


的 密 钥 信息 已 


暴力 破解 得 到 系统 密 钥 信息 上 ， 因 此 该 协议 存在 密 钥 伪造 攻击 


该 算法 
所 以 攻击 者 可 以 根据 算法 本 身 设计 的 漏洞 快速 


用 自身 的 标志 
TID= Rot(ID_L 


签 端 存储 字段 内 容 为 (UD.,TID,_ 工 TID,_R)， 划 


一 身份 标志 ID,， 并 且 利 
ID 生成 标签 Tag 的 假名 信息 
,JD _R)， 将 TID 的 左右 两 部 分 保存 ， 最 后 标 
中 i 为 标签 标 


信息 


漏洞 。 
综 上 所 示 ， 现 有 的 RFID 系统 密 钥 无 线 生 成 算法 主要 存在 
以 下 缺点 ， 如 表 1 所 示 。 
二 1 现 有 算法 漏洞 分 类 
现存 协议 缺点 相关 文献 
效率 较 低 文献 [7] 
缺少 形式 化 证 明 文献 [5、6、7、8、10] 
重 放 攻 击 文献 [5、8、9] 
标签 身份 ID 泄露 文献 [6、8] 
密 钥 伪造 攻击 文献 [5、6、8、9、10] 


针对 以 上 文献 [5] 和 文献 [8，9] 中 存在 的 算法 漏洞 ， 本 文 提 


出 了 一 种 改进 的 更 安全 的 在 单 标签 密 钥 生成 ,多 标签 密 钥 生 成 、 


群 组 标签 密 钥 六 


成 三 种 场景 下 分 别 适 用 的 算法 。 


号 ;每 个 标签 在 读 写 器 中 的 数据 存 


嵌 结 构 为 4，7 思 ，7T7D; 也 ， 


TID; R，AckBit=0 (初始 状态 为 0) )。 


2.2.1 基于 多 标签 


读 写 器 为 多 标签 批量 生成 相应 的 个 体 密 钥 算 法 


下 ， 如 图 2 所 示 。 
同 之 处 在 于 : 
a) Tagl, 


身 标号 i,，<Rg, 1, 4, i 


密 钥 批量 无 线 生 成 场景 下 算法 


具体 过 程 如 
多 密 钥 生成 与 单 密 钥 生成 算法 过 程 相似 ， 不 


Tagi 多 个 标签 发 送 密 钥 生成 请 求 命令 以 及 自 
…> 等 待 读 写 器 回复 。 


b) 读 写 器 在 给 定时 间 内 内 依次 响应 并 按 标 号 i 顺序 排队 等 


待 验 证 


, 所 有 标签 Ti, 依次 按 步骤 c)~f) 完 成 密 钥 的 生成 过 程 ， 


如 果 超 时 或 者 认证 失败 ， 协 议 终止 ， 如 果 数 据 库 同步 生成 密 钥 


成 功 后， 进行 步 又 了 人。 
c) 读 写 器 根据 标签 发 送 的 标号 i 以 及 激活 标志 4ckBit 判断 


算法 是 否 继续 。 妇 


[0 果 检 索 到 i 并 有 旦 激活 标志 4ckBit=0， 算 法 继 


续 ， 将 检索 到 的 数据 (i，ID;，TID; LL，TID; R，AckBit) 计 算得 到 
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对 应 的 TD = Rot(ID,_L,1D; _R)， 并 生成 两 个 随机 数 1、r2， 
计算 得 到 A=7ID, _L@n、B=TID,_R@r,， 最 后 将 4、B 发 
送 给 标签 Tug; 如 果 标 号 i 检索 成 功 但 是 激活 标志 4ckBif=7， 
说 明 标 签 密 钥 已 生成 过 ， 重 复 申请 ， 算 法 终止 ， 如 果 标 号 i 检 
索 失 败 ， 算 法 终止 。 

d) 标签 Tag 在 收 到 数据 4、B 后 ， 利 用 事先 存储 的 假名 信 
息 CTD _ 了 TID _ PR， 解密 4、B 得 到 随机 数 x1、r2， 具 体 解密 
过 程 如 下 : =71D,;_L@@A、w=TID,_R@B, 解密 成 功 后 ， 
标 签 生 成 待 验证 数据 C ， 
C= Rot(n _L,TID, 门 @Ror0 _L,TID, _ 几 ,最 后 将 数据 C 
发 送 给 读 写 器 。 

e) 读 写 器 收 到 消息 C 后 , 通过 原 有 生成 的 并 、r 以 及 TID; 
信息 ， 计 算得 到 C*"， 随 后 验证 C 是 否 等 于 C"， 如 果 相 等 读 写 
器 验证 标签 成 功 , 标签 合法 , 向 标签 发 送 密 钥 生成 命令 Create， 
同时 数据 库 同 步 为 标签 生成 密 钥 Key; ， 
Key = Sac(n RDD) 四 SacG03a _R,1D,) ,得 到 标签 新 的 存储 字 
段 G,，ID, TID; L, TID; R, Keyi, AckBit=1)。 

f) 标签 Tag 收 到 密 钥 生 成 命令 Create 后 ， 密 钥 生 成 得 到 
Key:, Key,=Sac(n _R,ID.)® Sac(r, _R,1D.). 


Reader Tag 
(i, ID, TID; L, TID; R, AckBit) TD LTD 
有 <Rg, 1, 4, i, ...> 
A=TID,_L@On As, Bi> 
B,=TID,_R@, 
C= Rot(n _L,TID, _L) 
<C> @Rot(r, _L,TID, _L) 
<Create> 
[ 


Key = Sac(n _R,1D,)® Sac(r, _R,1D,) 


图 1 基于 多 标签 密 钥 批量 无 线 生成 场景 下 改进 算法 过 程 图 
2.2.2 基于 单 标签 密 钥 无 线 生 成 场景 下 算法 

读 写 器 为 单个 标签 生成 相应 的 个 体 密 钥 算 法 作为 多 标签 的 
特例 具体 过 程 将 不 做 重复 描述 ， 单 标签 过 程 图 具体 如 下 ， 如 图 


2 所 示 。 
Reader Tag 
(i, ID, TID_L, TID, R, AckBit) (i,1D,,TID, _L,TID, 有 
<Rgq, i> 
A=TID_L® A 
B=TID_R@r, | | 蕊 
C=Rot(n _LTID_DN® 
< <C> Rot(n _LTID_L) 
<Create> 
C 
Key = Sac(n _R,ID)® Sac(r, _R,ID) 
图 2 基于 单 标签 密 钥 无 线 生成 场景 下 改进 算法 过 程 图 


2.2.3 基于 组 标签 组 密 钥 无 线 生成 场景 下 算法 
读 写 器 为 群 组 标签 生成 统一 的 组 密 钥 算法 
如 图 3 所 示 。 


体 过 程 如 下 ， 


杨 人 Da 合作 则 刊 。 

a) 首先 读 写 器 向 群 组 标签 广播 ， 下 发 密 钥 生 成 命令 。 

b) 群 组 标签 收 到 命令 Rq 后 ， 组 内 所 有 标签 分 别 利用 自身 
的 假名 信息 计算 得 到 验证 数据 41，42,…4i， 并 将 所 有 Ai 信息 
发 送 给 读 写 器 ，4 = Rot(TID, _L,TID, _R)@i. 

c) 读 写 器 收 到 所 有 Ai 信息 后 ， 在 给 定 的 时 间 内 ， 根 据 存 
储 的 字段 信息 GCG，ID，TID; LL，TID; R，AckBit)， 计 算 
A i= Ror(TID, _L,TID, _R) ,检查 读 写 器 组 内 标签 记录 中 的 
字段 是 否 全 部 有 对 应 的 Ai 消息 满足 ， 如 果 全 部 满足 并 且 相 等 ， 
说 明 组 内 所 有 标签 的 信息 在 读 写 器 中 都 可 以 找到 ， 组 内 所 有 标 
签 激活 成 功 ， 读 写 器 存储 的 字段 信息 更 新 为 (i,，1D，TIDi_ 工 ， 
TID; R，AckBit=1); 若 读 写 器 组 内 标签 记录 中 任意 一 条 记录 未 
与 标签 发 送 的 Ai 消 息 对 应 , 组 内 标签 激活 失败 , 在 给 定时 间 内 ， 
再 次 启动 新 一 轮 激活 ， 直 到 组 内 标签 记录 全 部 相等 ， 如 果 时 间 
超时 ， 算 法 终止 。 当 组 内 所 有 标签 激活 成 功 后 ， 读 写 器 生成 随 
机 数 +， 开始 为 群 组 标签 生成 共享 组 密 钥 Key， 
Key = Sac(1D,r) ® Sac(ID,,7) DO…@Sac(ID,,r), 并 为 组 内 每 
个 标签 生成 加 密 的 组 密 钥 计算 因子 Ki, K, = Key@Sac(ID,n)， 
因为 组 内 标签 需要 得 到 随机 数 > 才能 解密 得 到 组 密 钥 Key， 所 
以 读 写 器 还 需 为 组 内 标签 发 送 一 组 消息 Bj、Ci、Di， 具 体 加 密 
过 程 如 下 : B=TID_L@r_L,， C=TID_RE@r_R,， 
D, = Rot(T1D,,r) 。 最 后 向 标签 发 送 消息 < Ki、Bi、Ci、DP。 

d) 组 内 标签 在 收 到 消息 < Ki、Bi、Ci、DP> 后 ， 首 先 根据 各 
标签 端 存储 字段 内 容 为 ULD,TD TDP -有 局 ， 解 密 得 到 随机 
数 上 ， 有 具体 解密 过 程 如 下 : r_L=TID,_L®B 
r_R=TID _ R@C,r=r Zr R。 随 后 标签 计算 得 到 万， 
验证 是 否 和 收 到 D 相等 ， 如 果 相 等 ， 说 明 标 签 对 读 写 器 验证 成 
功 , 组 内 各 标签 利用 解密 得 到 的 r 以 及 自身 的 身份 ID 信息 计算 
得 到 组 密 钥 Kew，Key = K, @@Sac(1D,,7) 。 并 依次 向 读 写 器 发 送 
确认 命令 5S, = Key, @®@TID,_Le@TID,_R，。 

e) 读 写 器 在 规定 时 间 内 收 到 组 内 所 有 5 确认 命令 , 需要 对 
比 组 内 标签 计算 得 到 的 组 密 钥 是 否 全 部 相等 。Reader 根据 存储 
的 各 个 标签 字段 (i，ID，TID; L，TID; R，AckBit=1)， 解密 5;， 
解密 得 到 如 果 Key = Key, =…= Key 全 部 相等 ， 说 明 组 内 各 个 
标签 成 功 得 到 组 密 钥 , 最 后 , 读 写 器 存储 的 字段 信息 更 新 为 (i， 
ID, TID; L, TID; R, Key, AckBit=1), 向 标签 组 广播 回复 update 
命令 ; 如 果 有 任意 Key; 不 相等 ， 说 明 组 密 钥 因子 错误 ， 算 法 终 
止 。 

f) 标签 端 收 到 update 命令 , 组 内 各 标签 存储 字段 内 容 更 新 
为 (ID,,TID,_L,TID,_R,Key) ， 至 此 算法 完成 。 

综 上 所 述 ， 本 节 分 别 在 三 种 不 同 场景 下 设计 了 改进 的 更 安 
全 的 的 可 密 钥 伪 造 、 标 签 隐私 泄露 的 RFID 系统 密 钥 无 线 生 成 
算法 ， 该 算法 基于 循环 移 位 、 异 或 、 自 组 合 交 义 位 运算 实现 标 
签 激活 和 加 密 认证 过 程 ; 在 组 密 钥 生 成 场景 下 引入 随机 数 保 证 
密 钥 新 鲜 性 ， 防 止 重 放 攻击 ; 在 整个 通信 过 程 中 标签 真实 身份 
ID 匿名 隐藏 ， 仅 利用 假名 TID 代替 ID 进行 计算 ， 防 止 身份 泄 
露 ， 利 用 标签 标号 和 4ckBit 激活 标志 位 的 对 应 关系 标记 标签 
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状态 信息 ， 提 高 算法 效率 对 单个 标签 密 钥 生成 算法 作 过 程 进行 GNY 他 辑 形式 化 建 
二 一 元 模 ， 完 整 模拟 算法 交互 过 程 。 其 中 ， 用 M 表示 通信 过 程 ， 标 签 
(i, ID, TID,L, TID; R, AckBin) (i,ID,,TID, _L,TID, _R) 主体 用 Tag 表示 ， 读 写 器 用 Reader 表示 。 
Rg Mi: Reader <4*(i) 
SE M2: Tag <4*F(n,TID_D,P,(n,TID_AR) 
| < M3: Reader 4*F(r _L,r,_L,TID_D) 
a 3) 安全 目标 
本 Rd 对 单个 标签 密 钥 生 成 算法 用 GNY 逻辑 语言 定义 需要 达到 
em | 区 二 的 安全 性 目标 ， 其 中 ，Di 表示 读 写 器 对 标签 身份 的 初次 识别 ; 
Dz、D; 表示 标签 对 读 写 器 验证 ， 对 发 送信 息 新 鲜 性 的 相信 ， D4 


Key = Sac(ID,r)® Sac(ID,,r)B*…@® Sac(ID,,r) 


表示 读 写 器 对 标签 验证 ， 对 标签 身份 的 再 次 识别 。 


图 3 


腻 


于 组 标签 密 钥 无 线 生 成 场景 下 改进 算法 过 程 图 


D1: Readerl=Tag|g(i) 
3 ”算法 形式 化 证 明 
D;: Tagl|s Reader|~#F(n,TID_L) 


GNY 逻辑 是 基于 知识 和 信念 的 逻辑 推理 方法 之 一 , 其 证 明 


三 0 与 方 ; 在 有 ee GNY 人 | 人 Tag = Reader|~#F,(s,,TID_R) 
车 则 组 成 其 基本 定义 可 参见 文献 [14,15]， 本 文 证 明 
| oT ee Ds: Readerl=Tag|gh,(n _L,n_L,TID_L) 
WRT PEGG DJPEWFCOJ 4) 证 明 过 程 
i P(X),PeKk 当 读 写 器 收 到 消息 MI， 也 即 是 Reader <*(i) ， 读 写 器 查 
~ PE¢(X)x,PIEYGF(X, K)) 找 后 台数 据 库 记 录 (i, ID, TIDi L, TID; R，AckBit), 检索 符合 
a PlE#(X) 的 标签 标号 信息 i, 如 果 检 索 成 功 , 读 写 器 初次 识别 标签 成 功 ， 
Pl#(X,Y), P=#(F(X)) 也 即 是 Reader 上 G(i) ， 安 全 性 目标 D1 得 证 。 
消息 解析 规则 I= 当 标 签收 到 消息 Mz 后 ， 也 即 是 到 A=TID_L@n、 
PA*(X)x,PeKk,PEPC >0,PESX), PENX,K) B=TID_R@r, ， 由 初始 化 假设 Hs: Tag|##,) 可 知 
PEQ|I~X,PEQ|~(X)i,PEQeK 


Tag|#(n) ， 再 


初始 化 假设 Hi 


1) 初始 化 假设 
于 3 种 不 同 场景 算法 过 程 类 似 ， 本 节 只 对 基于 单 标签 密 Tag el(i,ID,TID_LTID_R) 可 知 Tage(TID_L) ， 
钥 生 成 改进 算法 作 有 具体 分 析 证 明 , 其 余 两 种 情况 由 于 过 程 类 似 ， Tag 与 G(TID) 二 Yri,TID) ， 再 根据 新 鲜 性 规则 Fl 本 
篇 幅 有 限 ， 将 不 做 重复 描述 。 

首先 对 单个 标签 密 钥 生成 算法 进行 初始 化 假设 , 其 中 , Hi、 
了 表示 标签 、 读 写 器 已 经 拥有 的 ; H3、H4 表示 标签 、 读 写 器 相 
信 各 自 某 些 信息 是 可 识别 的 ，Hs、Hs 表示 标签 、 读 写 器 对 某 些 


五 
SN 
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72g 上 大 iT77ZD _Z) ， 继 续 根据 新 鲜 性 规则 F1， 可 得 


7zg 上 # 石 (1,77ZD _L) ， 接 着 根据 消息 解析 规则 I1 (其 中 ， 


数据 新 鲜 性 的 相信 。 Tag se() 、Tag 上 FT< >R 、7ag 上 Wi,TID) 、Tag 4*(n) 、 
H: Tag e(i,1D,TID_L,TID_R) 72g 卢 # 万 (iTID_Z) )， 终 得 Tag|=Reader|~# 五 (iTID_ 六 ， 安 
Ha: Reader e(i,ID,TID_L,TID_R) 全 性 目标 D2 得 证 。 安 全 性 目标 D3: 由 初始 化 假设 Hs: 
. Tag 上 本 证 三) 可知 Tasg 上 大 DP) ， 再 由 初始 化 假设 HH : 

H;3: Tag EO) . 
Tag e(i,1D,TID_L,TID_R) 可 知 Tag e(TID_R)， 再 由 可 识 
Hs: Reader|=9(n,n,) 别 规则 Ri、 Rs 可 以 得 到 Tag 上 GTID) 一 G(s,TID) , 再 根据 
Hs: Tagls#(n,n) 新 鲜 性 规则 Fl 可 得 Tag 上 #(,TID _R) ,继续 根据 新 鲜 性 规 
He: Reader|=#(TID, n,n,) 则 Fl， 可 得 Tag 上 刁 # 忆 (n,TID _R) ， 接 着 根据 消息 解析 规则 


2) 形式 化 模型 II (其 中 ， Tagel(i) 、 TaglETag ->Reader 、 
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Tag 上 9(n,TID)、Tag <4*(n)、Tag|=# 忆 b(n,TID_R)), 可 得 。 组 内 正确 的 解密 关键 因子 Sac(1D.,r)， 才 可 以 顺利 的 破解 组 密 
Tag|=Reader|~# 已 (5,77D_R) ， 安 全 性 目标 Di 得 证 。 钥 Key = KSac(1D,,r), 并 且 因 为 4ckBit 激活 标志 的 存在 , 必 
当 读 写 器 收 到 来 自 标签 的 消息 M3 后 ， 也 即 是 : 须 保证 读 写 器 对 组 内 所 有 标签 的 记录 都 是 (i, 1D, TID;_L, TID;_R， 
C= Rot(n _L,TID_)@Rot(r_L,TID_D)， 读 写 器 再 次 查找 。” AckBit=1), 读 写 器 才 会 为 标签 生成 统一 的 组 密 钥 (i, ID, TIDi_ 工 ， 
后 台数 据 库 记录 (i，ID，TIDi; L，TID; R，AckBit)， 以 及 随机 数 TID; R，Key，AckBit=1)， 因 此 ， 改 进 协议 可 以 在 三 种 场景 下 安 
r1、r2?， 验 证 标签 ， 可 以 得 到 Reader|=b(1_L,n_L,TID_D， 全 的 抵抗 密 钥 伪造 攻击 ， 而 根据 本 文 第 2 节 相 关 研究 中 表明 文 
最 后 再 根据 可 识别 规则 RI : 得 到 献 [5、8、9] 均 不 能 抵抗 密 钥 伪 造 攻击 。 
Reader|=GF(n _L,n_L,TID_L)， 预 期 目标 D4 实现 。 5 ”改进 算法 性 能 分 析 


4 和 汗 完全 i 
算法 安全 性 分 析 根据 第 4 节 算 法 形式 化 证 明 以 及 第 5 节 安 全 性 对 比分 析 ， 
本 章 主要 从 第 2 章 提 到 文献 [5,8,9] 中 存在 的 标签 匿名 性 、 下 面 给 出 相关 文献 与 本 文 算法 的 安全 性 对 比 ， 见 表 3， 其 中 ，Y 


覃 


重 放 攻 击 、 密 钥 伪 造 攻击 三 个 方面 对 本 文 改 进 算 法 进行 分 析 。 表示 满足 安全 性 ; X 表 示 不 能 满足 安全 性 。 
在 三 个 应 用 场景 下 改进 算法 都 可 以 保证 标签 匿名 性 ， 分 析 表 3 算法 安全 性 对 比 
如 下 : 因为 在 三 种 场景 下 标签 收 到 读 写 器 的 请 求 后 ， 并 没有 直 攻击 类 型 文献 [5] 文献 [8] 文献 [9] 本 算法 
接 利 用 标签 本 身 的 ID 信息 进行 计算 ， 而 是 将 标签 的 标号 信息 i 标签 匿名 x x 
进行 初次 识别 ， 并 且 将 标签 ID 信息 进行 加 密 得 到 假名 7ID， 重 放 攻击 x 
TID= Rot(ID_L,1ID_R)， 再 将 TID 分 成 左 、 右 两 部 分 ， 即 使 密 钥 伪造 区 x x y 
攻击 者 通过 窃听 得 到 <4、B、C> 也 无 法 轻易 以 第 二 节 描 述 的 解 算法 证 明 x x 1 1 
密 方式 得 到 TID 以 及 随机 数 疡 、 户 结果， 改进 协议 可 以 在 三 种 由 于 群 组 密 钥 组 标签 密 钥 无 线 生 成 场景 和 批量 标签 密 钥 无 
场景 下 安全 的 保证 标签 匿名 性 ， 而 根据 本 文 第 2 章 相 关 研 究 中 线 生 成 场景 下 因为 标签 数量 的 不 同 无 法 计算 对 比 ， 这 里 不 再 对 
表明 文献 [8] 不 能 保证 标签 匿名 性 。 比 说 明 ， 本 节 主 要 统一 对 单个 标签 密 钥 场景 下 密 钥 无 线 生 成 算 
在 三 个 应 用 场景 下 改进 算法 都 可 以 抵抗 重 放 攻击 ， 分 析 如 “法 ， 从 标签 的 计算 量 、 存 储量 和 通信 量 三 个 方面 与 相关 文献 进 
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下 : 基于 单 标签 和 多 标签 的 应 用 场景 下 ， 无 论 是 攻击 者 窃听 重 ，，” 行 性 能 分 析 对 比 ， 如 表 4 进行 说 明 ， 在 表 4 中 ，Xt 表示 异 或 运 
放 <4、83、C> 中 的 任意 消息 〈4=7ZDP_Z@i、B-7TD_RB@5D、 算 ，PRNG 表示 随机 数 产 生 器 ，R 表示 移 位 运算 ，Rt 表示 循环 
C= Rot(n _LTID_D@Rot(n,_LTID_D ), 都 会 因为 随机 数 错 移 位 运算 ，Sa 表示 自 组合 交 叉 位 运算 ， 假 名 TID、 标 签 唯一 标 
误 而 使 算法 终止 ， 在 基于 群 组 标签 密 钥 生 成 场景 中 ， 改 进 算法 志 ID、 密 钥 Key、 随 机 数 的 长 度 都 是 I，X 表示 认证 过 程 中 的 


在 密 铀 Key 的 生成 中 加 入 随机 数 xr， 临时 存储 空间 ， 通 信 量 的 单位 为 工 。 

Key = ac(D ，, 门 四 9ac(1D 门 四 … 四 9ac(D ,六 ,即使 攻击 者 表 4 单个 标签 密 钥 生成 改进 算法 性 能 对 比 

重 放 A， 因 为 攻击 者 不 知道 标签 (1D,TID,_L,TID,_R) 身份 字 相关 文献 计算 量 存储 空间 通信 量 

段 ， 也 无 法 攻击 成 功 ， 并 且 读 写 器 端 (i,，1D,，TID; L,，TID R， 文献 [5] Xt+PRNG I+X L 

AckBit) 4ckBit 激活 标志 的 存在 ， 使 得 标签 4ckBit 已 经 置 1， 当 文献 [8] 7Xt 4IHX L 

攻击 者 重 放 消 息 时 ，AckBit 激活 标志 检验 出 错误 ， 算 法 一 样 会 文献 [9] SXtHR 2I+X L 

终止 ,因此 ,改进 协议 可 以 在 三 种 场景 下 安全 的 抵抗 重 放 攻击 ， 本 文 4Xt+2Rt+2Sa 3I+X 2L 

而 根据 本 文 第 2 节 相 关 研 究 中 表明 文献 [5，8，9] 均 不 能 抵抗 重 10 i 

放 攻 击 。 5[ 算 代价 

在 三 个 应 用 场景 下 改进 算法 都 可 以 抵抗 密 钥 伪造 攻击 ， 分 ee 二 二 

析 如 下 : 因为 在 基于 单 标签 应 用 场景 下 改进 算法 共享 密 钥 的 加 人 | 

密 方 式 是 Key = Sac(n _R,1D) 多 Sac(r, _R,1ID)、 基 于 多 标签 应 ? EE 

用 场景 下 改进 算法 共享 密 钥 的 加 密 方 式 是 4 | 

Key = Sac(n _R,1D) 多 Sac(n _R,1D,)， 可 以 看 出 这 两 种 场景 文献 [5] 文献 [8] ”文献 [9] 本文 
生成 密 钥 的 方式 都 需要 随机 数 和 标签 身份 信息 的 加 入 ， 而 攻 图 4 ”相关 文献 标签 计算 代价 柱状 对 比 图 

击 者 在 整个 通信 过 程 中 都 不 曾 得 到 标签 ID 的 信息 ， 只 有 假名 通过 表 3、4, 图 4 可 以 看 出 , 对 于 单个 标签 密 钥 生成 算法 ， 


TID 的 参与 ， 攻 击 者 并 不 能 获得 完整 的 数据 ， 在 基于 群 组 标签 。” 相 较 于 文献 [5，8，9]， 本 文 算法 无 论 是 标签 计算 量 、 存 储 空间 
应 用 场景 下 改进 算法 共享 密 钥 的 加 密 方 式 是 还 是 通信 量 和 对 比 算法 类 似 ， 达 到 超 轻 量 标准 ， 但 是 相 较 于 对 
KG 一 SacUD 门 @SacUD 门 @…@SacUD, 门 ,而 这 第 三 种 组 比 算法 ， 本 文 的 改进 算法 在 保证 算法 安全 性 更 高 的 同时 标签 端 


密 钥 的 产生 方法 中 也 同样 引入 随机 数 r， 标 签 必须 计算 出 所 有 计算 代价 并 没有 提高 ， 标 签 端 计算 代价 低 于 平均 值 ， 满 足 低 成 
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本 文 在 RFID 密 钥 无 线 生成 三 种 场景 下 分 别提 出 了 更 安 4 
的 改进 算法 ， 给 出 完整 GNY 风 辑 证 明 过 程 ， 表 明 算 法 安全 可 
行 性 ， 同 时 在 满足 RFID 系统 低 成 本 应 用 的 条 件 下 弥补 了 原 算 
法 在 标签 匿名 性 、 重 放 攻 击 、 密 钥 伪 造 攻 击 三 个 安全 方面 的 不 
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